Halaman ini menjelaskan praktik terbaik penggunaan Identity-Aware Proxy (IAP).
Menyimpan data ke dalam cache
- Jangan gunakan CDN pihak ketiga di depan aplikasi Anda. CDN dapat menyimpan konten dalam cache dan menayangkan halaman yang disimpan dalam cache kepada pengguna yang tidak diautentikasi.
- Jika Anda memiliki resource besar dan tidak sensitif yang ingin ditayangkan dari CDN, gunakan domain terpisah seperti
images.yourapp.comuntuk resource ini. Gunakan CDN dengan domain tersebut dan tambahkan header respons HTTPCache-control: privateke semua objek yang hanya boleh ditayangkan kepada pengguna yang diautentikasi.
- Jika Anda memiliki resource besar dan tidak sensitif yang ingin ditayangkan dari CDN, gunakan domain terpisah seperti
Mengamankan aplikasi Anda
Agar aplikasi dapat diamankan dengan tepat, Anda harus menggunakan header bertanda tangan untuk lingkungan standar App Engine, Compute Engine, dan aplikasi GKE.
Mengonfigurasi firewall Anda
-
Pastikan semua permintaan ke Compute Engine atau GKE dirutekan melalui load balancer:
- Konfigurasikan aturan firewall untuk mengizinkan health check dan pastikan bahwa semua traffic ke Virtual Machine (VM) Anda berasal dari IP Google Front End (GFE).
- Untuk perlindungan tambahan, periksa IP sumber permintaan di aplikasi Anda untuk memastikan permintaan tersebut berasal dari rentang IP yang sama dengan yang diizinkan oleh aturan firewall.
-
Di Konsol Google Cloud, IAP menampilkan error atau peringatan jika aturan firewall Anda sepertinya tidak disiapkan dengan benar. Google Cloud Console IAP tidak mendeteksi VM mana yang digunakan untuk setiap layanan, sehingga analisis firewall tidak menyertakan fitur lanjutan seperti jaringan non-default dan tag aturan firewall. Untuk mengabaikan analisis ini, aktifkan IAP melalui perintah
gcloud compute backend-services update.